Los estudiantes crack CardSpace de Microsoft
Traduccion aleman al español
Los estudiantes de la Universidad Ruhr de Bochum deseo de haber encontrado una manera, al igual que en Microsoft hay de nuevo Marco de autenticación utilizado CardSpace robar fichas de seguridad. Un atacante podría por lo tanto, protegidos y encripta los datos transmitidos, como contraseñas del usuario, número de tarjeta de crédito y la dirección de envío se acercó. CardSpace (anteriormente Información Card) es la sucesora de Pasaporte, en el que la información personal de un usuario en un servidor central de Microsoft, pero a nivel local por parte del usuario se almacenan. El usuario decide, dependiendo de la página web que transmite los datos. CardSpace es también la tradicional contraseña de autenticación basada en reemplazar. Con CardSpace son varias las llamadas tarjetas de información, respectivamente, tarjetas para diferentes proveedores de gestionar.
Según el informe debe ser con anti-DNS depositadas Rebinding o DNS, DNS spoofing y Drive-by "pharming" es posible, el modo de transmisión choques. En esencia, es necesario para la resolución de nombres de usuario para manipular el sistema a fin de que la muestra de la CardSpace navegador para el atacante llegó. Ellos manipularon a este un router entradas DNS, como el de cross-site solicitud falsificación y dirige al usuario a sus propios servidores de nombres. Se convierte en un proceso de autenticación enviada la resolución de nombres para que el usuario busque a los verdaderos CardSpace lado de una tienda y ver a una falsificación del atacante tierras, las tierras simbólico con él. Luego el atacante durante el período de validez de las fichas de sus víctimas y para que gastar alrededor de la tienda.
Los estudiantes tienen un demo servidor creado, realizar el problema. En aras de la simplicidad, sin embargo, debemos propia configuración de DNS y un certificado no confiable instalar la demo de obras. En la prueba de la editorial Heise Seguridad, sin embargo, no fue así. Microsoft deben ser informados sobre el problema y encontrar una solución. Los estudiantes proponen en el informe para el mismo origen Política como función de seguridad del navegador.
__________________